Alles, was Sie über das Verzeichnis von Verarbeitungstätigkeiten für Ihre DSGVO-Compliance wissen müssen
Die Einführung der Datenschutzgrundverordnung (DSGVO) im Mai 2018 hat viele Dinge für Unternehmen auf den Kopf gestellt. Eine der Herausforderungen, die mit diesen strengen Datenschutzregeln einhergehen, ist das Verzeichnis von Verarbeitungstätigkeiten (VVT). Hält sich das Unternehmen nicht daran, können die Bußgelder bis zu 10 Millionen Euro oder 2% des Jahresumsatzes betragen.
In diesem Artikel werden Sie herausfinden, was ein Verarbeitungsverzeichnis ist, welche Informationen es enthalten muss und wer für seine Pflege verantwortlich ist. Außerdem zeigen wir Ihnen, wie Sie diese DSGVO-Anforderung am besten in der Praxis umsetzen.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Artikel 30 der DSGVO besagt, dass die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die innerhalb der Organisation stattfinden, erstellen und aufbewahren müssen. Dieses Dokument sollte die Liste jeder Verarbeitungstätigkeit der personenbezogenen Daten enthalten und in schriftlicher oder elektronischer Form geführt werden. Wann immer das Unternehmen also solche Daten sammelt, verwendet, speichert oder überträgt, muss es solche Datensätze erstellen bzw. sie ständig aktualisieren. Darüber hinaus sollten die Unternehmen die Datenschutzprinzipien einhalten.
Informationen, die Sie im Verzeichnis von Verarbeitungstätigkeiten aufnehmen sollten
Die Liste der Informationen, die das Verarbeitungsverzeichnis enthalten sollte, unterscheidet sich für Verantwortliche und Auftragsverarbeiter. Die für Verantwortlichen entscheiden, warum und wie die Daten erhoben und verarbeitet werden, während die Hauptaufgabe der Auftragsverarbeiter darin besteht, die Verarbeitung im Auftrag eines Verantwortlichen durchzuführen.
Wer muss die Verarbeitungstätigkeiten dokumentieren?
Im Allgemeinen müssen nur Organisationen mit 250 oder mehr Mitarbeitern ein Verzeichnis von Verarbeitungstätigkeiten führen. Diese DSGVO-Compliance-Anforderung kann jedoch auch für kleinere Unternehmen gelten, wenn ihre Verarbeitungstätigkeit:
- voraussichtlich zu einem Risiko für die Rechte der Betroffenen führen wird (z. B. umfassende Überwachung, Einsatz neuer Technologien)
- nicht nur gelegentlich stattfindet (z. B. tägliche Tätigkeiten wie Kundenmanagement oder Gehaltsmanagement)
- besondere Kategorien von Daten, im Sinne von Artikel 9 Absatz 1 (z. B. Gesundheitsdaten, biometrische Daten), oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten, im Sinne von Artikel 10, umfasst.
Daher ist es auch für viele kleine und mittelständische Unternehmen Pflicht, ein Verzeichnis zu führen.
So erstellen und verwalten Sie ein Verzeichnis von Verarbeitungstätigkeiten
Im Folgenden werden die wichtigsten Schritte zur Erstellung und Pflege eines VVTs beschrieben:
- Prüfung aller verfügbaren personenbezogenen Daten – eine gute Idee, wenn man mit einem Verarbeitungsverzeichnis beginnt, ist es, eine Informationsprüfung durchzuführen, um zu klären, welche personenbezogenen Daten das Unternehmen besitzt, wo und wie es sie verarbeitet.
- Identifizierung der Rolle – für jede Verarbeitungstätigkeit ist es wichtig zu identifizieren, ob Sie ein Verantwortlicher oder ein Auftragsverarbeiter sind. Für in den USA ansässige Unternehmen, die in der EU tätig sind, gelten die DSGVO-Anforderungen wie folgt: Sie müssen einen in der EU ansässigen Mitarbeiter ernennen und ihn damit beauftragen, in ihrem Namen im Hinblick auf die Verpflichtungen unter der DSGVO-Compliance zu handeln.
- Kategorisierung der Daten – ein sehr wichtiger Schritt, bevor Sie Ihre Aktivitäten dokumentieren, ist die Einteilung in Kategorien der Daten, die Sie über die betroffenen Personen haben.
- Dokumentation der Aktivitäten – Sie sollten Ihre Aufzeichnungen sowohl in schriftlicher als auch in elektronischer Form führen. Es ist auch wichtig, dies auf eine strukturierte und sinnvolle Weise zu tun. Wenn die Aufzeichnungen aufbewahrt werden müssen, sollten sie außerdem zentral gespeichert werden.
- Ständige Aktualisierung – Sie sollten Ihr Verzeichnis regelmäßig überprüfen. Wann immer Ihre Organisation neue Verarbeitungstätigkeiten beginnt oder den Zweck ihrer aktuellen Tätigkeiten ändert, muss das Verzeichnis aktualisiert werden.
Verwaltung Ihres Verzeichnis von Verarbeitungstätigkeiten mit Compliance Aspekte
Die manuelle Erstellung eines Verarbeitungsverzeichnisses unter den DSGVO-Compliance-Anforderungen oder die Verwendung von Tools wie Excel kann sehr schwierig und zeitaufwendig sein. Ziehen Sie lieber eine moderne GRC-Lösung wie Compliance Aspekte in Betracht, die Ihre primären Herausforderungen lösen kann. Sie bietet die notwendige Funktionalität, um ein Verarbeitungsverzeichnis effizient zu erstellen und zu pflegen. Compliance Aspekte bietet erweiterte Anpassungsmöglichkeiten, so dass Sie Verarbeitungsverzeichnis-Listen erstellen können, die auf Ihre spezifischen Geschäftsanforderungen zugeschnitten sind.
Kostenfreies Konto
Kontaktieren Sie uns, um einen unverbindlichen Testzugang zu erhalten
Effective and easy-to-use IT security management system based on the latest standards and regulations — from planning and establishing the security concept to certification.